Cuando se apagaron las luces… se encendió una nueva forma de pensar la seguridad

El apagón del 28 de abril pasado me sorprendió fuera de España. Las primeras llamadas que recibí fueron reveladoras. Empresas líderes, con millones invertidos en transformación digital, veían sus operaciones básicas completamente paralizadas por el fallo eléctrico nacional. No estamos hablando de pequeñas empresas sin recursos, sino de organizaciones que han invertido enormes cantidades en smart grids, IoT industrial y tecnologías avanzadas. Lo que más me impactó no fue el apagón en sí, sino una incómoda realidad: estas organizaciones habían construido una fachada tecnológica impresionante, pero seguían funcionando con planes de continuidad del siglo pasado adaptados a tecnologías actuales.

Era como si hubiéramos estado jugando a ser modernos, avanzando sin control y prometiendo que la IA lo arreglaría todo, olvidando evaluar temas básicos cuando incorporamos nuevos ingredientes en nuestras recetas organizacionales.

El momento de la verdad, cuando todo se tambalea

Durante esas horas caóticas, algo me llamó especialmente la atención. Mientras empresas con infraestructuras propias tambaleaban, las plataformas cloud funcionaban sin problemas. Sin caídas, sin interrupciones. También observé que una cadena de supermercados mantuvo operativas sus cajas y cámaras, no por casualidad, sino por haber aplicado criterios específicos para garantizar disponibilidad.

Esta ironía me hizo reflexionar sobre algo muy humano: a menudo, lo que percibimos como más seguro (tener todo “bajo nuestro control”) puede ser, en realidad, más frágil. La resistencia a cambios tecnológicos viene dada por problemas culturales, de personas y por el miedo a perder control que, en realidad, muchas veces no tenemos.

Más allá del apagón. El despertar necesario

Al día siguiente, una pregunta me rondaba la cabeza: si un fallo técnico causó semejante caos, ¿qué pasaría ante un ataque deliberado y malicioso? ¿Somos conscientes de los costes, responsabilidades y dependencias que estos nuevos ingredientes tecnológicos han traído a nuestras vidas?

Los datos son contundentes: los ciberataques a infraestructuras críticas en España aumentaron un 43% el año pasado, según los datos el Balance de Ciberseguridad de Incibe en 2024. No son estadísticas vacías; son amenazas reales dirigidas a empresas como las nuestras, lideradas por personas como nosotros.

Aquí confirmé algo que siempre he defendido, aunque a menudo ha generado encontronazos por falta de entendimiento: la ciberseguridad no puede ser “el problema del departamento de IT”, ni verse como un gasto necesario en lugar de una inversión estratégica. La ciberseguridad debe formar parte del ADN de las entidades, siendo responsabilidad de todos y afectando a todos.

Cambio de paradigma: de blanco y negro a color

Durante años, la seguridad ha sido vista por los consejos de administración y direcciones en blanco y negro. Este modelo debe cambiar completamente con la llegada de la IA y la digitalización de sectores industriales para adaptarse a nuevas necesidades, productos y normativas.

Guste o no, las personas estratégicas, alta dirección y empleados deben aprender a visualizar la seguridad con una visión en color, no en blanco y negro. Esto llevará tiempo, pero debe ser así, y cuanto antes lo aceptemos, mejor. Es imprescindible que cualquier cambio de este tipo venga acompañado de un liderazgo y estrategia empresarial muy fuertes.

No se trata solo de cambiar soluciones, hardware, contratar más personal o invertir más dinero pensando que solo es un coste. Sinceramente, creo que la tecnología y la seguridad nunca han sido tan baratas y accesibles como ahora, si realmente se entiende cómo aplicarlas y sacarles partido. Se trata de un cambio de mentalidad profundo que debe empezar por uno mismo. La seguridad no puede ser algo ajeno a la cultura y procesos; debe ser parte integral de cada decisión estratégica desde el primer momento. Es preocupante ver cómo muchas consultoras que dan servicios no contemplan estos temas en sus procedimientos de manera core.

Metodologías modernas hacia un enfoque integral

Creo firmemente en aproximaciones más amplias que abandonen la idea de dependencia única del departamento de IT para la seguridad. Un ejemplo es el Continuous Threat Exposure Management (CTEM), que permite medir criticidad e impacto usando reglas de negocio definidas conjuntamente con las áreas operativas, eliminando los silos tradicionales donde TIC es el único responsable de la seguridad.

Es fundamental dar importancia a estándares como ISO 27001, 22301 y NIS2 como objetivo inicial. Pero lo más crítico es ser capaces de incorporar la seguridad en el ADN de la entidad en todos sus ámbitos, siendo resilientes ante cualquier cambio en sistemas, software, servicios o procesos. Debemos interiorizar la necesidad de ver la seguridad y continuidad no como un gasto, sino como un valor competitivo diferenciador para nuestros clientes y nosotros mismos.

Hoja de ruta: acciones concretas y medibles

Fase 1.- Estabilización inmediata

Foco en las personas, la mejor inversión: lanzar programas intensivos y continuos de concienciación sobre phishing e ingeniería social. No solo formar, sino medir la efectividad con simulacros regulares para verificar que realmente estamos preparando a nuestra gente para no caer en trampas.

Eliminar weak passwords: es increíble la cantidad de puertas traseras que dejamos abiertas. Auditar y eliminar todas las contraseñas por defecto o demasiado fáciles en sistemas críticos, especialmente en interfaces de acceso remoto y dispositivos IoT. Implementar autenticación multifactor (MFA) siempre que sea posible es un “quick win” más barato que una costosa plataforma xMDR.

Inventario completo, saber qué tenemos: no podemos proteger lo que no vemos. Es fundamental desplegar herramientas para obtener un inventario completo y en tiempo real de todos los activos conectados a nuestras redes IT y OT. Con cada nueva incorporación, debemos redefinir los planes de control y seguridad.

Segmentación básica: aislar las redes OT más críticas de las redes IT corporativas. Aunque suene técnico, es vital: si algo se cuela en la oficina, no puede llegar al corazón de la fábrica o central eléctrica. Esto contiene el daño y limita que el atacante se mueva a sus anchas.

Fase 2.- Reconstrucción profunda: fortalecimiento estructural

Mentalidad Zero Trust Security: esta es la clave. Iniciar la transición estratégica hacia “nunca confiar, siempre verificar”. No es solo una herramienta; es una forma de pensar la seguridad que debe guiar cómo construimos todo de ahora en adelante. Es fundamental para entornos donde lo antiguo se junta con lo nuevo, y para manejar la explosión de dispositivos IoT y edge computing.

Blindar a nuestros socios, TPRM como estrategia: ya no basta con firmar un papel. Hay que industrializar la forma en que evaluamos a nuestros proveedores, estableciendo criterios claros y procesos de monitoreo continuo.

La colaboración es vital: la ciberseguridad, especialmente en sectores críticos como el eléctrico, no es una competición, es trabajo en equipo.

• Compartir inteligencia: Participar activamente en centros de intercambio y análisis de información (ISACs) y equipos de respuesta a emergencias (CERTs). Es fundamental para recibir y compartir inteligencia de amenazas en tiempo real.
• Entrenar juntos: Colaborar con agencias gubernamentales y participar en ejercicios nacionales e internacionales como “Locked Shields” es crucial. No solo nos ayuda a probar nuestros planes, sino a mejorar la coordinación cuando llega una crisis real.

Fase 3.- Liderazgo del futuro: anticipación y ventaja competitiva

La IA como aliado inteligente: ya no es solo para detectar comportamientos extraños, sino para educar inteligentemente a las personas en su operativa diaria. Desplegar plataformas de IA y machine learning para analizar y predecir dónde podrían aparecer vulnerabilidades y para “cazar” amenazas de forma proactiva (threat hunting), siempre con supervisión humana.

Resiliencia operativa integrada: la seguridad cibernética no puede ir por un lado y la continuidad de negocio por otro. Fusionar planes de respuesta a incidentes cibernéticos con planes de continuidad de negocio (BCP) bajo estándares ISO 22301 y planes de recuperación ante desastres (DRP). Así, si algo pasa, sabremos cómo seguir funcionando. Debemos evitar los silos tradicionales y trabajar en modelos mucho más transversales.

Justificando la inversión. ROI real y medible

Dejemos de ver la ciberseguridad como un “agujero negro” de dinero. Hay que hablar el lenguaje del dinero y demostrar valor concreto:

Coste de brecha evitado: cada euro invertido reduce la probabilidad de incidentes. Esto es ahorro directo y cuantificable.

Protección de ingresos: garantizar continuidad operativa evita pérdidas directas por paralización de producción o distribución.

Habilitación de innovación: una plataforma segura permite adoptar nuevas tecnologías (IoT, análisis de datos, servicios digitales, IA, edge computing) más rápida y seguramente, acelerando la creación de nuevas fuentes de ingresos sin estar paralizados por miedo a los riesgos.

Reducción de costes operativos: una postura de ciberseguridad madura puede resultar en primas de seguros más bajas y, crucialmente, evitar multas millonarias por incumplimiento de normativas como NIS2, que pueden llegar hasta el 2% de la facturación anual global.

El valor de la confianza: la confianza no se ve, pero se siente, y tiene un valor económico inmenso. Una empresa ciber-resistente genera más confianza en clientes, inversores y reguladores. Esto no solo mantiene el valor de marca, sino que lo incrementa. La confianza es el “capital intangible” más valioso en esta nueva era.

Reitero que, muchas veces, el sentido común, la colaboración y las buenas prácticas son más seguros que adquirir las últimas tecnologías más costosas del mercado.

Reflexión final

El apagón de abril reafirmó que la ciberseguridad ha trascendido pantallas y cables. Ya no es una casilla más en nuestra lista de tareas, ni ámbito exclusivo del “experto en IT”.

Hemos estado viendo la ciberseguridad en blanco y negro: como escudo estático, obligación legal o problema a resolver solo cuando la crisis está encima. Pero el mundo se ha vuelto a todo color gracias a la digitalización masiva. Nuestras redes eléctricas se transforman en smart grids, los contadores inteligentes y el IoT están en todas partes, la IA y el edge computing cambian las reglas del juego. Con cada nuevo color, cada nueva capa tecnológica, surgen nuevas amenazas. Es una realidad donde los peligros son mayores porque digitalizamos cada vez más el mundo industrial y operativo.

La seguridad ya no es solo cuestión tecnológica. Es, sobre todo, un cambio estratégico, cultural y de procesos, impulsado por personas. Los líderes deben entender que no podemos “descargar” la seguridad exclusivamente en el equipo técnico ajeno a la definición de objetivos de la entidad. Debe estar integrada desde el principio, en cada decisión de desarrollo, en cada proceso, en cada equipo multidisciplinar.

La verdadera fortaleza ya no se mide solo por la capacidad de evitar ataques, sino por la resiliencia para detectarlos y, lo más importante, reponerse cuando se ha visto afectada. Aquel día, la resiliencia inesperada de las plataformas cloud fue testimonio de que la seguridad “por diseño” y la capacidad de adaptación son más importantes que el mero “control físico”.

Mi reflexión es clara: la ciberseguridad es ahora un imperativo empresarial que impulsa ROI, protege reputación y habilita innovación. Al integrar la seguridad en el propio ADN de nuestra compañía, transformamos un riesgo inevitable en ventaja competitiva. Estamos entrando en la cibercivilización, un mundo donde la seguridad no es limitación, sino la base sobre la que se construye confianza, prosperidad y un futuro eléctrico más seguro para todos.

>